La Oficina de Derechos Civiles anuncia violaciones de la HIPAA
La Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos anunció sus primeros casos de violación de HIPAA de 2022 contra cuatro funcionarios proveedores separados por posibles violaciones de la Regla de Privacidad de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), incluido el derecho de acceso a información médica protegida.
Partes identificadas que enfrentan violaciones
Además del Dr. Donald Brockley, un odontólogo de Pensilvania, se observaron multas por violación de HIPAA en los acuerdos alcanzados con el Dr. U Phillip Igbinadolor, DM,D, (UPI) de Carolina del Norte; Jacob and Associates, con sede en California, un proveedor de servicios de salud mental; y Northcutt Dental-Fairhope, con sede en Alabama, una práctica dental en Fairhope y sus alrededores.
Declaraciones del Director de la OCR
En un comunicado, la directora de la OCR, Lisa Pino, afirmó que el propósito de estos procedimientos de cumplimiento es responsabilizar a los proveedores de atención médica por su cumplimiento de la HIPAA. Según Pino, "Dada la creciente frecuencia de filtraciones de datos de información médica protegida sin protección y los continuos riesgos de ciberseguridad que afectan al sector sanitario, es imperativo que las entidades cubiertas por la HIPAA se tomen en serio sus responsabilidades de cumplimiento de la HIPAA", añadió. La Oficina de Derechos Civiles se dedica a preservar la información médica mediante la aplicación de medidas de control de las infracciones de privacidad y seguridad, lo que incluye la imposición de sanciones pecuniarias civiles por infracciones que pasan desapercibidas.
Dos de los acuerdos están relacionados con presuntas violaciones del estándar de derecho de acceso HIPAA, según los acuerdos.
Contexto histórico y precedentes
Desde la introducción del programa OCR en 2018, que tiene como objetivo garantizar que los pacientes tengan acceso oportuno a su información médica, 27 proveedores enfrentaron sanciones de HIPAA y llegaron a un acuerdo con la agencia por posibles fallas en el derecho de acceso, según la organización.
El polémico caso de la UPI
La Oficina de Derechos del Consumidor llegó a un acuerdo con un profesional dental indignado por una mala reseña. La Oficina de Derechos Civiles (OCR) impuso a UPI una multa de $50,000 en sanciones económicas civiles después de que la empresa no respondiera a una solicitud de datos de la OCR ni a una citación administrativa. UPI tampoco presentó objeciones a las conclusiones de la OCR. El acuerdo y las conclusiones son el resultado de un incidente inusual ocurrido en 2015.
Origen del caso
Durante los años 2013 y 2014, un paciente acudió a UPI para recibir tratamiento dental. En 2015, el paciente usó un seudónimo para publicar una reseña negativa de UPI en Google, que posteriormente fue eliminada. UPI respondió a la reseña negativa varias semanas después, divulgando el nombre y la información médica protegida del paciente, lo cual constituyó una filtración de datos y era ilegal en ese momento.
El paciente fue identificado en la publicación de UPI, quien los acusó de hacer "afirmaciones sin fundamento" en su contra porque solo había visitado el consultorio en dos ocasiones desde octubre de 2013. UPI continuó describiendo cada cita, así como la naturaleza de esos tratamientos, supuestamente menospreciando al paciente y su coeficiente intelectual como preparación para la investigación.
Un paciente presentó una queja ante la Oficina de Derechos Civiles, alegando que UPI había violado sus derechos bajo la Regla de Privacidad de HIPAA. La OCR notificó a UPI sobre la auditoría y la agencia solicitó información sobre las políticas y los procesos del proveedor para responder a las reseñas de pacientes en línea, el uso y la divulgación de información médica protegida (PHI), las salvaguardas de la PHI y la constancia de capacitación en HIPAA. La investigación se inició al año siguiente.
La continua falta de cooperación de la UPI
Sin embargo, aunque UPI admitió que respondió a la revisión negativa del paciente y proporcionó su Aviso de Prácticas de Privacidad a la Oficina de Derechos Civiles (OCR), no proporcionó a la agencia ningún documento de capacitación, reglas o procedimientos.
Tras revisar la respuesta en línea de UPI a la revisión, la OCR determinó que constituía una divulgación ilegal de información médica protegida y que UPI debía eliminarla de inmediato. También se le informó que, si aún no contaba con dichas normas y procedimientos, debía adoptar políticas y procedimientos relacionados con la divulgación de información médica protegida, y más específicamente con respecto a su uso compartido en redes sociales.
Lo que siguió fue una batalla que duró un año entre UPI y el regulador, que incluyó solicitudes a la OCR de copias de las políticas y procedimientos de UPI para el uso de las redes sociales en relación con la divulgación de información médica protegida (PHI) y si UPI había eliminado su respuesta a la revisión negativa de su sitio web.
A pesar de que UPI envió un acuse de recibo de la capacitación, no incluyó ningún material que describiera el contenido de la misma. "La respuesta sigue siendo pública a la fecha de esta advertencia", declaró el dentista sobre no haber eliminado la información médica protegida de su perfil de Google. El proveedor aún no ha presentado sus normas y procedimientos de redes sociales a la Oficina de Derechos del Consumidor.
La Oficina de Derechos Civiles (OCR) declaró que la reacción a la revisión negativa del paciente violaba la Regla de Privacidad de HIPAA e intentó obtener datos financieros de UPI para establecer adecuadamente el monto de la multa monetaria civil, que fue un factor en estas decisiones.
Sin embargo, el proveedor se negó a participar, alegando que "los registros solicitados no se proporcionarán porque no están relacionados con la HIPAA". Esta postura es alarmante dado el creciente número de casos de violación de la HIPAA que estamos viendo. La Oficina de Derechos Civiles (OCR), responsable de supervisar las sanciones de la HIPAA y garantizar que las entidades cubiertas por la HIPAA cumplan, volvió a aclarar el objetivo de las solicitudes, lo que provocó nuevas denegaciones de participación y la declaración: "Nos vemos en el tribunal".
En vista del creciente número de infracciones de la HIPAA y las consiguientes multas, la diligencia de la OCR no sorprende. UPI recibió una citación de la Oficina de Derechos Civiles en noviembre de 2017, solicitando los registros pertinentes. Cabe preguntarse si un incumplimiento tan acérrimo podría conllevar una multa cuantiosa por infracción de la HIPAA.
Según la HIPAA, «Una entidad cubierta debe cooperar con la OCR si esta lleva a cabo una investigación o revisión de cumplimiento». Esto enfatiza la importancia de comprender las regulaciones de la HIPAA para todos los planes de salud y entidades que se rigen por las directrices de la HIPAA.
La medida coercitiva puso de relieve la presunta falta de cooperación de UPI. Este caso es solo uno de los numerosos casos de infracción que subrayan la importancia de cumplir con los mandatos de la HIPAA en materia de políticas, procedimientos y prácticas.
Otros casos notables de violación de la HIPAA
Infracciones y sanciones de Brockley Dental
En otro caso, Brockley Dental enfrentó severas sanciones derivadas de infracciones comunes de la HIPAA. Llegaron a un acuerdo con la Oficina de Derechos Civiles por $30,000 e implementaron un plan de acción correctiva después de que una auditoría de la queja de un paciente revelara un incumplimiento. En 2020, el Departamento de Salud y Servicios Humanos (HHS), encargado de supervisar estas sanciones por infracciones de la HIPAA, emitió una multa de $104,000 por posible infracción de la HIPAA debido a la falla de acceso. Sin embargo, tras una extensa deliberación, la sanción se redujo significativamente.
El acuerdo exigía a Brockley implementar y difundir políticas y procedimientos integrales de la HIPAA, garantizando que comprendieran y respetaran los requisitos del derecho de acceso. Además, todos los empleados debían recibir capacitación, un paso crucial para minimizar futuras infracciones de la HIPAA.
Incumplimiento de Jacob and Associates
Otro caso destacado fue el de Jacob and Associates, que tuvo varios problemas de filtración de datos. Tras no responder a las reiteradas solicitudes de acceso a su historial médico de una paciente, se les exigió pagar 28.000 dólares a la Oficina de Derechos Civiles. Estos casos son un duro recordatorio de las consecuencias de no cumplir con la norma de privacidad y seguridad de la HIPAA.
Además, el estudio reveló que el proveedor carecía de un responsable de privacidad designado, un rol fundamental para garantizar el cumplimiento de la normativa HIPAA. La ausencia de dicho responsable puede aumentar el riesgo de filtraciones de datos.
Uso indebido de datos personales de Northcutt Dental-Fairhope
En otro caso, Northcutt Dental-Fairhope se vio envuelto en un escándalo por presuntas violaciones de la Regla de Privacidad de HIPAA. Este caso fue particularmente alarmante porque parecía que el proveedor utilizó los datos para beneficio propio. La decisión del Dr. Northcutt de compartir información de pacientes con su jefe de campaña causó controversia y resultó en fuertes multas.
En conclusión, estos casos destacados enfatizan la importancia de las regulaciones HIPAA y las posibles consecuencias para las entidades cubiertas por HIPAA que no las cumplan. Cualquier error, ya sea intencional o accidental, puede conllevar sanciones severas. Además, cualquier investigación de la OCR, incluso si se inicia por una queja menor, puede revelar una gran cantidad de otras discrepancias relacionadas con la HIPAA.